窃密病毒伪装Windows激活程序 盗取用户资金
💡
原文中文,约3100字,阅读约需8分钟。
📝
内容提要
火绒威胁情报系统发现一款伪装成Windows非法激活程序的窃密病毒正在传播。该病毒以Windows_Loader.zip包形式诱导用户,内含病毒程序,可以获取用户电脑和程序信息并且盗取资金,对用户构成较大安全威胁。病毒与CryptBot家族有关,能窃取浏览器敏感信息、拍摄屏幕截图,并新增了"clipboard hijacker"模块,通过劫持剪贴板数据来盗取加密货币资金。
🎯
关键要点
- 火绒威胁情报系统发现伪装成Windows非法激活程序的窃密病毒。
- 病毒以Windows_Loader.zip包形式诱导用户,内含窃密程序。
- 该病毒与CryptBot家族有关,能窃取浏览器敏感信息和资金。
- 新增的'clipboard hijacker'模块通过劫持剪贴板数据盗取加密货币。
- 样本分析显示病毒伪装成Windows激活程序,包含多个文件。
- activate.exe是恶意行为的主要执行文件,包含复杂的混淆和反调试机制。
- 病毒窃取用户的浏览器配置、钱包信息和计算机相关信息。
- 样本会将窃取的数据压缩并发送到指定的C2域名。
- Sukibas.exe和Sukibas.jpg是计划任务中的执行文件,利用Autoit脚本进行操作。
- 通过剪贴板劫持模块,样本替换用户复制的加密货币地址以盗取资金。
🏷️
标签
➡️
